国外WEB漏洞扫描系统测评对比详情
测试类别 | 测试项 | AWVS | AppScan | HP WebInspect | WebCruiser | Nexpose | nessus | nmap |
产品基本要求 | 版本区分情况(分几个版本) | 企业版/顾问版 | 3个版本 | 收费版 |
免费版/ 收费版 |
见参考材料 |
Home版/ 企业版 |
免费版 |
是否能设置并发扫描域名个数。 | √ | √ | √ | ╳ | √ | √ | ╳ | |
是否能设置并发任务个数。 | √ | ╳ | √ | ╳ | √ | √ | ╳ | |
是否能设置扫描页面超时时间设置。 | √ | √ | √ | ╳ | √ | √ | √ | |
漏洞检测要求 | 是否支持Web 2.0(Ajax、Flash、JS) 等应用。 | √ | √ | √ | √ | √ | ╳ | ╳ |
是否支持对基于HTTPS应用系统的检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
是否支持解析Javascript脚本、Flash对象中的URL。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
是否支持自动过滤重复URL页面。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
是否支持对指定URL、当前域、整个域的漏洞扫描。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
是否支持自动发现并扫描整个域下所有子域名。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
是否支持预登陆或指定Cookie扫描。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
是否支持WAF或其它防护工具的识别,能识别国内外常见WAF。 | √ | ╳ | ╳ | ╳ | ╳ | ╳ | √ | |
是否支持对OWASP TOP10(2010-2013)高风险漏洞检测,包括注入攻击漏洞、认证和会话管理失效、跨站脚本攻击、不安全的直接对象引用、不安全的配置、敏感信息泄露、未授权访问、跨站请求伪造、使用的不安全组件、未验证的重定向等。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
SQL注入检测功能是否支持对Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、SQL盲注检测功能。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
XSS跨站脚本检测功能是否支持对Get、Post、Cookie的参数、HTTP头部的user-agent检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
是否支持Webshell木马检测。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
是否支持网站管理后台地址检测。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
是否支持隐藏字段检测。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
是否支持Cookie安全问题检测。 | √ | √ | √ | √ | √ | ╳ | ╳ | |
是否支持Web路径下敏感文件检测。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
漏洞验证要求 | 是否支持对检测的高风险漏洞进行自动验证,直观展现漏洞细节信息,如数据库信息、数据表信息和数据库用户名等。 | ╳ | ╳ | ╳ | √ | ╳ | ╳ | ╳ |
是否支持在漏洞验证过程中,列出正常请求与检测请求的区别。 | √ | √ | √ | ╳ | ╳ | ╳ | ╳ | |
风险管理要求 | 是否支持统一的风险管理页面,以站点为单位显示所有任务中所有站点的风险状况、漏洞信息、问题URL等。 | √ | √ | √ | √ | √ | √ | ╳ |
任务策略要求 | 是否支持创建单次任务和周期任务,并能自定义任务开始时间。 | √ | ╳ | ╳ | ╳ | √ | ╳ | ╳ |
是否支持任务暂停、继续扫描、重新扫描、断点续扫等功能。 | ╳ | √ | ╳ | ╳ | √ | √ | ╳ | |
是否支持以上任务管理功能的批量操作。 | ╳ | ╳ | ╳ | ╳ | √ | √ | ╳ | |
是否能够通过手工输入和文件导入两种方式录入被扫网站域名列表 | √ | √ | √ | ╳ | √ | √ | ╳ | |
是否支持自定义扫描任务策略模板。 | √ | √ | √ | ╳ | √ | √ | ╳ | |
报表分析要求 | 是否支持报表样式定制,包括LOGO、标题、页眉页脚等。 | √ | √ | √ | ╳ | √ | ╳ | ╳ |
是否支持多种格式输出报表,包括但不限于HTLM、WORD、PDF等格式。 | √ | √ | √ | ╳ | √ | √ | √ | |
是否支持在任务执行过程中或暂停时,对已完成扫描的域名直接输出报表。 | √ | √ | √ | ╳ | √ | √ | √ | |
报表的内容应包括但不限于任务执行情况、任务策略、站点基本信息、站点风险统计、站点风险分布、漏洞名称、漏洞类型、漏洞影响的站点URL、漏洞详细描述和威胁级别等。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
是否支持单个站点历史数据的纵向分析,实现风险对比、风险跟踪功能,风险对比和跟踪应具体到URL。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
是否支持多个站点扫描结果横向分析,按照风险等级、漏洞分类等进行对比。 | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | ╳ | |
是否支持报表的在线浏览和离线下载。 | √ | √ | √ | ╳ | √ | ╳ | ╳ | |
安全管理要求 | 支持多用户分权管理。 | ╳ | ╳ | ╳ | ╳ | √ | ╳ | ╳ |
支持用户审计功能。能够对用户登录日志、操作记录、系统异常等信息进行纪录和查询。 | ╳ | ╳ | ╳ | ╳ | √ | ╳ | ╳ | |
支持配置备份恢复机制,能够对扫描结果、日志、扫描策略模板等配置文件进行导出和导入操作。 | √ | √ | √ | ╳ | ╳ | √ | ╳ | |
开放接口支持情况,列出对外接口开放接口情况如XML、API、Web Service。 | √ | √ | ╳ | ╳ | √ | √ | √ | |
是否能获取任务状态接口、任务控制接口。 | √ | √ | ╳ | ╳ | √ | √ | √ | |
是否能活取扫描结果导出接口、漏洞信息接口。 | √ | √ | ╳ | √ | √ | √ | √ |
国外WEB漏洞扫描系统测评对比详情相关推荐
- [软件]Safe3 Web漏洞扫描系统企业版v10.1 破解版
Safe3 Web Vul Scanner 是保护伞网络推出的网站安全性检测工具,这款软件需要.NET Framework2.0支持, Safe3 Web Vul Scanner 使用较为领先的智能 ...
- Web漏洞扫描工具(批量脱壳、反序列化、CMS)
一.什么是Web漏洞扫描工具 即是指"扫描Web应用以查找安全漏洞(如跨站脚本,SQL注入,命令执行,目录遍历和不安全服务器配置)的自动化工具",其中许多可能是由不安全或不正确的编 ...
- Web漏洞扫描(三:Burp Suite的基本操作)
任务二.Burp Suite基础Proxy功能: 2.1.在Kali虚拟机中打开Burp Suite工具并设置,打开"Proxy"选项卡,选中"Options" ...
- 自研分布式web漏洞扫描平台WDScanner
WDScanner 为了能在漏洞爆发后快速形成漏洞检测能力,同时能对网站或主机进行全面快速的安全检测,Tide安全团队(www.tidesec.net)开发了一套简单易用的分布式web漏洞检测系统WD ...
- Web 漏洞扫描工具 AppScan 和 AWVS 使用方式
Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 文章目录 Web 漏洞扫描工具 AppScan 和 AWVS 使用方式 0x01 AppScan 基本操作 1.AppScan 简介 1. ...
- Acunetix WVS安装、破解+Web漏洞扫描
云安全Web漏洞扫描 一.试验要求 二.试验目的 三.试验环境 四.试验内容 任务一 Acunetix WVS安装 任务二 Acunetix wVS的基本使用 一.试验要求 1.掌握web扫描的概念. ...
- 软考备考----漏洞扫描系统简介
备考笔记,仅供参考! 漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序. 通过使用漏洞扫描系统,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配.提供的服务.Web服务软件版本和这 ...
- 10大Web漏洞扫描工具
Web scan tool 推荐10大Web漏洞扫描程序 Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版 ...
- 【安全工具】全!十大Web漏洞扫描工具
十大Web漏洞扫描工具 Acunetix Web Vulnerability Scanner[( 简称AwVS ) AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行 ...
最新文章
- win7映射网络驱动器消失了_驱动器出现问题怎么办_Win7系统映射网络驱动器出现故障如何解决...
- 从新手到Flutter架构师,一篇就够!吐血整理
- python数据分析师书籍_如何自学成为数据分析师
- CentOS 下重装 jdk
- Android自定义操作栏示例教程
- python 读取sheet_python实现读取excel文件中所有sheet操作示例
- win10多台计算机共享文件夹设置密码,win10系统给共享文件夹设置密码的操作方法...
- 快照劫持 4种方法教你如何处理百度快照劫持系列问题
- 点餐系统,餐厅点餐系统,外卖点餐系统python计算机毕业设计
- bd青鸟Java宠物商店2017
- linux编译ipp多线程,Linux下Intel IPP编程环境的配置
- 2021年SIM卡交换攻击,美国损失近千万
- 基于有源钳位三电平的有源电力滤波器(ANPC-APF)MATLAB仿真,包括自建的DSOGI锁相模块和PQ谐波检测模块。 可简单解释。
- 中国互联网2010年最佳阵容(漫画版)
- 荣誉系统排名是整个服务器,[综合]关于荣誉军衔晋升系统的深入研究
- python程序停止运行语句_怎么停止python脚本
- php 上传文件后缀名,对应PHP文件上传后缀名与文件类型
- 软件设计师考试(快速备考笔记总结)
- python方向难度排名_菜鸟如何提升Python编程水平?良心推荐!
- 实用系列-离线安装deb
热门文章
- Openresrt最佳案例
- Word论文中关于章、节、图、表、公式自动编号及引用
- Retinex图像增强
- java jbutton文字_JAVA swing JLabel JButton标签文本文字内容的换行
- 基于WebRTC实现1v1音视频聊天室
- ubuntu系统终端使用命令删除文件到回收站中
- TFS2010删除团队项目
- ewb交通灯报告和文件_基于EWB的交通灯设计
- (7-3)重要的话说三遍 (5分) 你只需要把这句很重要的话 —— “I'm gonna WIN!”——连续输出三遍就可以了。 注意每遍占一行,除了每行的回车不能有任何多余符
- 【裸辞记录之入职篇】不要怂,我们都是最棒的打工人(内附详细入职注意事项)